Несмотря на усилия Microsoft по улучшению безопасности Windows, исследователи продолжают находить лазейки в защитных механизмах. Специалист из Orange Cyberdefense обнаружил уязвимость, позволяющую выполнить произвольный код в процессе LSASS — важном компоненте Windows, отвечающем за хранение учётных данных пользователей.
В июле 2022 года Microsoft обновила систему Protected Process Light (PPL), чтобы закрыть одну из уязвимостей, которая позволяла обходить защиту LSASS. Однако исследователи выяснили, что метод использования уязвимых библиотек (BYOVDLL) всё ещё возможен.
Исследование сфокусировалось на службе CNG Key Isolation (KeyIso) и попытке загрузить её уязвимую версию (keyiso.dll) в LSASS. Первая попытка оказалась неудачной, поскольку система заблокировала загрузку DLL без цифровой подписи.
Однако исследователь нашёл решение: он использовал каталоги файлов Windows, содержащие криптографические хэши для проверки подлинности. Установив правильный каталог, он добился распознавания подписи уязвимой библиотеки и загрузил её в LSASS.
Для успешной реализации атаки был зарегистрирован новый провайдер ключей, который использовал уязвимую версию библиотеки ncryptprov.dll. После подтверждения загрузки DLL в LSASS, исследователь запустил эксплойт, который успешно выполнил код внутри защищённого процесса.
Эта уязвимость в очередной раз демонстрирует, что даже усиленные меры защиты могут оказаться недостаточными, и безопасность информационных систем остаётся вызовом, требующим постоянного совершенствования.
The post Обход защиты LSASS в Windows. Как исследователь нашёл уязвимость в хранилище учётных данных appeared first on Сервисный центр Volt-PC.